Kaspersky Labは6月21日(米国時間)、「ToddyCat: Unveiling an unknown APT actor attacking high-profile entities in Europe and Asia|Securelist」において、ヨーロッパやアジアの政府機関および軍組織を攻撃する未知の持続的標的型攻撃(APT: Advanced Persistent Threat)グループが存在していると伝えた。「ToddyCat」と呼ばれるそのサイバー犯罪者グループは2020年12月以降、複数の国または地域の行政機関にサイバー攻撃を行ったことがわかっている。
-
ToddyCat: Unveiling an unknown APT actor attacking high-profile entities in Europe and Asia|Securelist
ToddyCatの活動は未知のエクスプロイドを使って台湾とベトナムのMicrosoft Exchangeサーバを乗っ取り、「China Chopper」と呼ばれるWebシェル型マルウェアを展開してサイバー攻撃を行ったことから始まったとされている。ToddyCatの活動には「Samurai backdoor」と呼ばれるバックドアと「Ninja Trojan」と呼ばれるトロイの木馬という特徴的な名前のマルウェアが使われているという。
標的にされたのは台湾およびベトナムだけでなく、アフガニスタン、インド、イラン、マレーシア、パキスタン、ロシア、スロバキア、タイ、イギリス、キルギスタン、ウズベキスタン、インドネシアなど12カ国に及ぶ。これら国々の政府機関や軍隊、または軍の請負業者がToddyCatの標的にされたことが明らかになっている。
Kaspersky LabはToddyCatを複数の手法を駆使して検知を回避し、目立たず標的を攻撃する巧妙な脅威アクターであると結論付けている。被害を受けた組織が主に軍関係であることから、地政学的利益に関連する重要な目標を達成するために行動を起こしていると分析。Kaspersky Labは引き続きToddyCatの監視を続け、最新情報を提供していきたいとしている。
